Voilà qui a de bonnes chances de faire le buzz en ce début de semaine…et pourtant… Une étude de CVE Details, compilant les données de la National Vulnerability Database, conclut abruptement que OS X et iOS seraient les deux systèmes possédant le plus de failles de sécurité, loin devant Windows, Android ou Flash. Avec respectivement 384 et 275 failles. OS X et iOS « dominent » largement les 314 failles de Flash ou les 231 d’Internet Explorer. Pour autant ces chiffres spectaculaires font apparaitre des « biais » énormes dans le report d’analyse, faussant tout simplement les « bonnes » conclusions que l’on devrait y apporter.

Malware-Found-in-Apple-App-Store

Premier constat, les version d’OS X sont cumulées (y compris les versions intermédiaires)…mais pas celles de Windows, qui à elles seules regroupent pourtant plus de 1200 failles. Le tableau ne distingue pas non plus les failles dupliquées d’une version à l’autre et les failles « uniques », ce qui est un réel problème ici puisque le détail des données de la  National Vulnerability Database montre bien qu’il y a plus de failles unique sur Windows que sur OS X. En outre, la nature des failles  n’est pas indiquée, ce qui passe sous silence le fait que Flash reste bien le plus gros pourvoyeur de failles dites critiques. Enfin, le fait que les failles en question aient été corrigées (ou non) n’est pas pris en compte dans le tableau; idem concernant le nombre de failles vraiment exploitées par un logiciel malicieux (malware), et qui peuvent donc réellement causer un soucis à l’utilisateur final (et sans surprises, c’est bien sur Windows qu’il y a le plus de logiciels exploitant ces vulnérabilités).

failles ios OS X

Mais le plus grand biais est clairement du côté de l’interprétation qui peut-être faite du nombre de failles de sécurité recensées pour Android en 2015, ici 3 fois moins élevé que sur iOS. Car le tableau ne distinguant pas entre failles existantes et failles exploitées, on en oublierait presque qu’une étude récente de Kapersky dévoilait de façon claire que près de 99% des logiciels malicieux tirant parti des failles des systèmes mobiles se trouvaient sur…Android, des malwares qui ont pour certains permis de siphonner les comptes bancaires de millions d’utilisateurs Android. Tout comme pour Windows, Android reste le principal visé par les pirates/hackers, qui se préoccupent plus ici du fait que près de 9 mobiles Android sur 10 en circulation ne sont pas mis à jour pour contrer les failles critiques recensées depuis 4 ans sur le petit robot vert (chiffres de l’Université de Cambridge).

the-new-android-malware-that-spies-on-you

Il convient aussi de préciser que la quasi totalité des failles critiques recensées ces dernières années sur iOS demandent un accès direct au mobile pour être exploitées convenablement, alors que de nombreux malwares Android sont tout à fait capables de récupérer les contenus du mobiles à distance.

Enfin, le tableau ne prend pas aussi en compte la politique de divulgation des failles ou des bugs pouvant amener une faille de sécurité. Apple, à contrario de Google, reporte publiquement chaque bug ou faille découverts en interne par les ingénieurs de la société. Les mises à jour rapides sur iOS, et sur une très grande échelle (on dépasse très vite les 80% de la base installée pour chaque nouvelle version d’iOS) garantissent aussi un certain niveau de protection des utilisateurs quand dans le même temps la fragmentation d’Android, souvent renforcée par le manque de volonté des opérateurs ou des fabricants, laisse d’énormes pans de la base installée Android à la merci de malwares  de plus en plus virulents.